안녕하세요.
최근에 연예인 대상으로 폰 해킹 관련 뉴스들이 연일 보도가 되고 있는데요.
어떤식으로 공격을 받아 해킹이 되었는지 관심이 높아지고 있습니다.
사용자의 계정을 탈취하는 공격 기법인 "크리덴셜스터핑"에 의해 해킹이 된건 아닌지
추측성 기사들이 나오고 있는데요.
크리덴셜스터핑 공격기법
최근에 보안 이슈로 인하여 비밀번호 조합이 숫자, 특수문자, 영문 조합등 많이 까다로워 지고 있습니다.
그래서 많은분들이 동일 패스워드로 여러 사이트에 가입을 하는경우가 많은듯 하며
공격자가 미리 확보해놓은 로그인 자격증명(크리덴셜, Credential)을 다른 계정에 무작위로 대입(스터핑, Stuffing)해보며 사용자의 계정을 탈취하는 공격 방식입니다
계정 탈취를 가장 쉽게, 자동화한 방식으로 수행할 수 있어 보안업계에서는 수년 전부터 크리덴셜스터핑을
경고 하고 있습니다.
피해 사례
2018년 우리은행 해킹 시도.
당시 공격자는 5일간 우리은행 인터넷뱅킹 웹사이트에서 총 85만회 로그인을 시도 하였습니다.
공격자가 주입한 로그인 정보는 다른 서비스에서 유출된 정보를 이용한 것으로 추정되며
동일한 로그인 정보를 이용한 우리은행 고객 5만6000명이 피해를 입었습니다.
실제 이용자 로그인 정보를 사용하기 때문에 은행 시스템은 정당한 이용자라고 판단 하였다고 하네요.
2017년 알툴즈 해킹.
당시 알툴즈 사이트 회원 아이디와 비밀번호 13만4000여건 등이 유출됐습니다.
공격자는 7개월 동안 다른 사이트에서 유출된 로그인 정보로 크리덴셜스터핑 공격을 감행한 것으로 조사 됐습니다.
아이디와 비밀번호 정보를 바꾸지 않는 이상 계속해서 동일한 위협에 노출될 위험이 있네요.
예방 방법
개인의 경우, 한 가지 ID와 비밀번호 조합을 반복적으로 사용하는 것을 피하고, 가능하면 주기적으로 로그인 정보를 변경하는 것이 도움이 됩니다. 기업의 경우, 비밀번호 외에도 문자인증, OTP인증 등의 다중인증 옵션을 도입하면 크리덴셜 스터핑 이후 두 번째, 세 번째 보안 인증을 뚫는 것은 힘들어질 수 있습니다.
마무리
동일한 아이디와 패스워드 사용을 자제하고 패스워드는 주기적으로 변경하여
해킹피해를 당하지 않도록 보안을 생활화 하여야 겠습니다.
관련글
'IT > 보안' 카테고리의 다른 글
| 네이버 2단계 인증 기기 변경 방법 (1) | 2020.07.27 |
|---|---|
| 휴대폰 도난방지기술 - 킬 스위치(Kill Switch) / 내폰찾기 (0) | 2020.06.06 |
| 구글 2단계 OTP 인증 강화 (0) | 2020.02.19 |
| Windows 하드디스크 암호화하기 (Bitlocker) (0) | 2020.01.16 |
| 삼성클라우드 2단계 인증 설정하기 (0) | 2020.01.10 |
최근댓글